Archives par mot-clé : rgpd

Microsoft confronté au RGPD en raison d’une collecte de données via Word, Excel, PowerPoint et Outlook

Le gouvernement néerlandais vient de rendre public un rapport commandité à la Privacy Company et ayant pour mission de montrer du doigt la collecte de données appartenant aux utilisateurs de Word, Excel, PowerPoint et Outlook.

Selon le rapport de The Privacy Compagny, Microsoft, via Office 365 et Office 2016, collecterait des données sans l’autorisation de ses utilisateurs. Commandité par le gouvernement néerlandais, l’enquête a eu pour mission de démontrer une sauvegarde d’informations personnelles sur des serveurs américains, ce qu’interdit le Règlement Général de la Protection des Données. Seconde plainte, les utilisateurs dans l’ignorance de cette collecte. De plus, Microsoft refuse d’indiquer le contenu de cette collecte via Word, Excel, PowerPoint ou encore Outlook.

« Microsoft collecte systématiquement et à grande échelle des données sur l’utilisation individuelle de Word, Excel, PowerPoint et Outlook. Indique The Privacy Company. Et elle le fait en catimini, sans en avertir les utilisateurs. Microsoft ne précise absolument pas la quantité de données. L’entreprise ne permet pas non plus la désactivation. De savoir quelles informations sont collectées, car le flux des données est chiffré. ». Selon l’enquête, le géant américain mettrait à jour entre 23 000 et 25 000 « events » (sic!). 20 à 30 équipes d’ingénieurs travailleraient avec ces données. Windows 10 ne collecterait « que » 1 000 à 1 200 events.

Microsoft a rappelé qu’il existait une version d’Office sans le moindre transfert de données. Une mise à jour, prévue en avril 2019, doit corriger la collecte incriminée par TPC.

RGPD : la CNIL précise les compétences du DPO

Le RGPD est entré en vigueur depuis plus de 5 mois et le ratio du nombre d’entreprises en conformité serait encore faible (inférieur à 25%) en France, si l’on en croit différentes études récentes et non-officielles. On sait en revanche que la CNIL, garante de la protection des données des citoyens français, a reçu 13 000 déclarations de DPO, soit seulement 16% des 80 000 estimées nécessaires. Le Délégué à la Protection des Données est pourtant considéré par la CNIL comme la clé de voûte de la conformité au règlement européen.

Pour mémoire, le RGPD est la nouvelle réglementation mise en place le 25 mai 2018 par l’Union Européenne pour contraindre toutes les organisations à garantir leur contrôle sur la collecte, le stockage et l’utilisation des données à caractère personnel des ressortissants européens. Les conséquences peuvent être très lourdes pour les entreprises, avec des amendes pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial. Sans compter bien sûr le risque sur la réputation de la société, sa perte de clientèle, les frais de procédures en cas de plaintes, etc.

RGPD et DPO : quelles sont les obligations de l’entreprise ?

Pour être en mesure de tenir leurs engagements, les entreprises doivent donc se doter d’un DPO, dont les missions sont stratégiques : conseils organisationnels, techniques et juridiques sur la bonne sécurité des données, relations avec la CNIL et les autres DPO, gestion des demandes d’exercice des droits, du respect des règles (Accountability) et des risques encourus.

D’après la CNIL, dans le cadre de la mise en application du RGPD, l’entreprise a l’obligation de :
Choisir son DPO en fonction de son expertise.
Veiller à ce que son expert reçoive la formation et les moyens matériels, financiers et intellectuels nécessaires pour mener à bien sa mission.
Veiller à ce que son DPO exerce ses activités sans conflit d’intérêts, en toute indépendance, qu’il puisse rendre compte de son action au plus haut niveau de l’entreprise.

Le choix du DPO doit être pris en fonction de ses compétences, mais aussi de son expérience de la protection des données, selon l’exposition aux risques identifiés de l’entreprise (classement risques EBIOS) :
Exposition basse : un minimum de 2 ans d’expérience peut être suffisant.
Exposition très haute : un minimum de 5 à 15 ans d’expérience peut s’avérer nécessaire.

Si l’on considère la pénurie actuelle de DPO et le caractère récent du métier, ces exigences d’expérience peuvent apparaître compliquées à remplir par tous.

Compétences et savoir-faire du DPO

Pour répondre aux nombreux questionnements des entreprises, la CNIL a publié au Journal Officiel le 11 octobre un référentiel listant les 17 critères cumulatifs auxquels un DPO doit pouvoir répondre pour être certifié par un organisme certificateur. Une démarche d’autant plus attendue que les profils ont été jugés très hétérogènes parmi les 13 000 DPO déclarés à la CNIL. Les compétences et savoir-faire que les DPO doivent satisfaire peuvent être regroupés en trois catégories, organisationnelle, juridique et technique :

Les savoirs organisationnels : le DPO conseille l’entreprise dans l’élaboration de procédures et politiques, ce qui induit des connaissances en gouvernance des entreprises. Par ailleurs, il est en mesure de mener un audit de conformité et de proposer des mesures de réduction ou gestion des risques, de les évaluer et d’en surveiller la mise en œuvre.

Les savoirs techniques et informatiques : le DPO doit mettre en œuvre les principes de minimisation ou d’exactitude, d’efficacité et d’intégrité des données et pouvoir exécuter les demandes de modification et d’effacement de données, ce qui impacte les systèmes et solutions de l’entreprise. Le DPO doit être ainsi force de conseils et de recommandations pour la mise en œuvre du « Privacy by Design » dans l’entreprise.

Les savoirs juridiques

Le DPO est un expert en protection juridique et règlementaire des données à caractère personnel. Outre le RGPD, il peut conseiller l’entreprise en cas de conflit de lois. Il participe à l’élaboration des contrats avec les partenaires, peut négocier avec le DPO du partenaire les clauses de protection de données personnelles. Il a également un rôle essentiel à jouer en matière de contentieux : il est l’interlocuteur de la CNIL et il instruit les plaintes des personnes concernées.

Avec ce référentiel de certification, l’entreprise dispose donc désormais d’éléments pour vérifier l’adéquation des savoirs en place en interne. Et force est de constater que le DPO doit faire figure de super-héros multi-compétences aux expertises transverses dans de nombreux domaines. Par ailleurs, il s’avère dans la pratique que la seule connaissance du texte de loi est insuffisante pour être en mesure de répondre à ces exigences.

La nécessaire montée en expertise du DPO

L’entreprise qui constate ne pas être en capacité à répondre aux critères du référentiel se trouve dans une position potentiellement à risque. Si elle dispose déjà d’un DPO en place, déclaré à la CNIL ou pas encore, il s’agit de mesurer l’écart d’expertise à combler et de l’accompagner en mettant à sa disposition les moyens matériels, financiers et intellectuels pour lui permettre d’atteindre les objectifs.

Selon l’exposition aux risques identifiées par l’entreprise, elle peut faire le choix d’une montée en expertise dans les catégories prioritaires pour elle. Par exemple, si l’organisation a une part importante de son activité en gestion par des prestataires externes. Elle devra les auditer régulièrement et réviser sa politique contractuelle. Le DPO, très attendu sur les aspects juridiques et audits. Il pourra alors avoir besoin d’un soutien sur des points précis tels que : auditer un traitement ou une conformité, mener un DPIA et gérer les risques, élaborer une procédure…

Le référentiel de la CNIL fixe le plancher des connaissances au suivi d’une formation de 35h sur le RGPD, afin d’en avoir une vision synthétique. Cela pourra s’avérer insuffisant tant la plupart des missions du DPO requiert des expertises fines dans des domaines très divers.

En prenant en compte l’isolement du DPO dans ses fonctions du fait de leur nature, et que la collaboration ou l’émulation avec des profils plus seniors dans l’entreprise est donc rarement possible, il n’est effectivement pas simple d’organiser un accompagnement dans sa montée en compétence. La CNIL encourage donc les DPO à s’organiser en groupes de travail réunis par secteurs d’activité, territoires ou même pour les indépendants à mutualiser leurs fonctions pour plusieurs entreprises. Cette approche ne produira néanmoins des résultats qu’à moyen terme et remplacera difficilement un transfert de savoir-faire par des DPO seniors.

Le choix de l’externalisation

Si l’entreprise ne dispose pas encore de DPO, ou si l’écart d’expertise à combler est trop important, l’externalisation totale ou partielle des fonctions de DPO peut être une option viable. Pour une entreprise de petite ou moyenne taille qui ne souhaite pas disposer d’un DPO en interne, avoir recours à des services extérieurs mutualisés est une des possibilités les plus pertinentes. Mais une externalisation partielle présente aussi l’avantage d’accompagner le DPO interne dans une partie de ses activités, avec un partage des pratiques professionnelles à l’aune des contraintes de l’entreprise. Une approche qui gagnera en efficacité si elle envisage un plan global de formation du DPO. (Par Patricia Chemali-Noël, Expert en Protection des Données chez Umanis)

RGPD cas d’école : hôpital

Un logiciel malveillant a récemment touché plusieurs sites Web de l’hôpital de Floride. Certaines informations patients concernées.

« L’ampleur de cette exposition a été limitée et il a été confirmé qu’aucun dossier financier n’a été affecté » indique le communiqué de presse de l’hôpital de Floride. Une alerte lancée par l’hôpital de Floride à la suite du piratage de plusieurs de ses sites web : FloridaBariatric.com, FHOrthoInstitute.com et FHExecutiveHealth.com. Les espaces web ont été mis hors ligne le temps de la correction (et de l’enquête). Les informations des patients exposées sur FloridaBariatric.com comprennent les noms, les adresses mails, les numéros de téléphone, les dates de naissance, la taille, le poids, les compagnies d’assurance et les quatre derniers chiffres des numéros de sécurité sociale. Pour les deux autres sites, les informations compromises se limitent au nom, à l’adresse courriel, au numéro de téléphone et à à l’ensemble des commentaires fournis par l’individu. Bref, un ransomware activé après un clic malheureux sur un fichier joint !

RGPD cas d’école banque

RGPD cas d’école banque – La banque du Commonwealth a perdu les antécédents financiers personnels de 12 millions de clients, et a choisi de ne pas révéler la violation aux consommateurs !

RGPD cas d’école banque – L’une des plus grandes violations de la vie privée des services financiers vient de toucher l’Australie et plus précisément la banque du Commonwealth. Cette dernière a perdu les antécédents financiers personnels de 12 millions de clients, et a choisi de ne pas révéler la violation aux consommateurs ! Des informations courant de 2004 à 2014. Le fautif, un sous-traitant qui a perdu plusieurs lecteurs de bandes contenant les informations financières.

Une « perte » qui a eu lieu en 2016.

Angus Sullivan, responsable des services bancaires de la Commonwealth Bank, a déclaré à BuzzFeed News que sa société « prenait la protection des données des clients très au sérieux et les incidents de ce type ne sont pas acceptables.« 

Les relevés bancaires perdus contiennent des renseignements personnels potentiellement sensibles et peuvent brosser un portrait détaillé des affaires financières et personnelles d’une personne. Ils pourraient être détournés par des pirates ou exploités par des sociétés commerciales qui pourraient utiliser les données à des fins illégitimes ou contraires à l’éthique. Pas de mot de passe et autres code PIN dans les bandes perdues.

BuzzFeed News a appris que la violation s’est produite en 2016, lorsque le sous-traitant de la banque, Fuji Xerox, mettait hors service un centre de stockage de données où certaines données de clients de la Banque Commonwealth étaient stockées. Le 25 mai 2018 en France, il faudra alerter la CNIL, les clients… et en cas de faute avérée, risquer une amende pouvant atteindre 4% de son chiffre d’affaire.

RGPD cas d’école santé

RGPD cas d’école – Une infirmière consulte des données de santé sans autorisation. L’hôpital obligé d’alerter plusieurs centaines de patients.

RGPD cas d’école – L’Office régional de la santé de Winnipeg (canada) indique son obligation d’alerter des centaines de patients après qu’une infirmière ait accédé de façon inappropriée à des renseignements médicaux personnels. L’autorité indique dans un communiqué de presse que l’infirmière, qui avait accès au système d’information du service des urgences, a fouillé de façon inappropriée alors qu’elle travaillait à l’extérieur de service d’urgence de l’hôpital de Grace.

Un cas que pourraient vivre des centaines d’hôpitaux Français à partir du 25 mai 2018. « L’accès à notre système d’information sur les urgences est vital pour les infirmières et les employés du service des urgences afin qu’ils puissent avoir accès à des renseignements sur la prestation des soins à n’importe quel moment de leur quart de travail, déclare l’ORSW. La seule fois où l’information peut être utilisée à l’extérieur du service des urgences, cependant, est pour les transferts de patients – ce qui n’a pas eu lieu dans ce cas. » 1 756 patients sont concernés par cette consultation non autorisée. Le 25 mai 2018 en France, il faudra alerter la CNIL, les patients.

Protection des données personnelles : le Sénat a adopté le projet de loi en nouvelle lecture

Jeudi 19 avril 2018, le Sénat a adopté en nouvelle lecture, par 307 voix pour et 0 voix contre, le projet de loi relatif à la protection des données personnelles.

Nombre de votants : 343
Suffrages exprimés : 307
Pour : 307
Contre : 0

Ce projet de loi vise à :

  • mettre en conformité des dispositions nationales avec le droit de l’Union européenne en matière de protection des données personnelles, en particulier avec le règlement général sur la protection des données (RGPD) du 27 avril 2016 qui a pour objectifs de renforcer les droits des personnes physiques, de responsabiliser tous les acteurs traitant des données et de crédibiliser la régulation ;
  • tirer parti des marges de manœuvre ménagées par le droit de l’Union européenne, notamment en maintenant des régimes spécifiques ;
  • transposer la directive européenne relative aux traitements mis en œuvre en matière policière et judiciaire.

Sur le rapport de Mme Sophie JOISSAINS (Union centriste – Bouches-du-Rhône), la commission des lois a rétabli en nouvelle lecture les principales dispositions adoptées par le Sénat en première lecture, visant notamment à :

  • mieux accompagner les collectivités territoriales, en :
    • affectant le produit des amendes prononcées par la CNIL au financement de mesures d’accompagnement ;
    • créant une dotation communale et intercommunale pour la protection des données à caractère personnel ;
    • supprimant, comme pour l’État, la faculté pour la CNIL de leur imposer des amendes et astreintes administratives ;
  • renforcer les garanties pour les droits et libertés des citoyens, en :
    • prévoyant une autorisation préalable des traitements de données pénales ;
    • encourageant le recours au chiffrement des données personnelles ;
    • maintenant le droit général à la portabilité des données non personnelles ;
    • s’assurant que les utilisateurs de terminaux électroniques aient le choix d’y installer des applications respectueuses de la vie privée ;
    • encadrant plus strictement l’usage des algorithmes par l’administration pour prendre des décisions individuelles, tout en renforçant les garanties de transparence en la matière, par exemple pour les inscriptions à l’université (« Parcoursup ») ;
    • maintenant à 16 ans l’âge du consentement autonome au traitement des données des mineurs.

Sécurité : Ça tousse du côté de la eSanté

eSanté : Les équipes de sécurité informatique doivent jouer un rôle primordial dans les hôpitaux.

eSanté – L’éditeur de solutions de sécurité informatique Trend Micro revient sur la problématique de la sécurité informatique dans le milieu de la santé. La dernière étude conjointe avec HITRUST, Securing Connected Hospitals, met en évidence deux aspects cruciaux de l’écosystème des soins de santé que les équipes informatiques doivent prendre en compte dans le cadre de leurs dispositifs de sécurité et de leurs partenaires tiers.

Nous pouvons penser que les hôpitaux seraient extrêmement sensibles à l’exposition des appareils sur Internet en raison des amendes imposées par la Loi sur la transférabilité et la responsabilité de l’assurance maladie (HIPAA) et des règlements similaires pour les violations de l’exposition aux données. Mais lorsque Trend Micro a cherché des points sensibles liés aux soins de santé à l’aide de l’outil Shodan, ils ont été surpris de trouver un grand nombre de systèmes hospitaliers exposés.

Il a été découvert des systèmes médicaux exposés – y compris ceux qui stockent des images médicales, des interfaces de logiciels de soins de santé et même des réseaux hospitaliers mal configurés – qui ne devraient pas être consultables publiquement. Bien qu’un dispositif ou un système exposé ne signifie pas nécessairement qu’il soit vulnérable, les dispositifs et systèmes exposés peuvent potentiellement être utilisés par des cybercriminels et d’autres acteurs pour pénétrer dans des organisations, voler des données, exécuter des botnets, installer des rançongiciels, etc.

En outre, il montre qu’une quantité massive d’informations sensibles est accessible au public alors qu’elles ne devraient pas l’être.

Données personnelles : le RGPD et les collectivité territoriales

Données personnelles : la commission des lois du Sénat reste ferme sur la défense des libertés publiques et des collectivités territoriales et s’inquiète pour l’équilibre de nos institution.

Après l’échec de la commission mixte paritaire et une nouvelle lecture à l’Assemblée nationale, la commission des lois du Sénat s’est réunie pour examiner à son tour, en nouvelle lecture, le projet de loi relatif à la protection des données personnelles qui doit mettre la loi Informatique et libertés en conformité avec un règlement et une directive de l’Union européenne.

Lors de cette discussion, tous les intervenants ont déploré l’attitude du groupe majoritaire de l’Assemblée nationale qui, malgré les efforts des présidents et des rapporteurs des commissions des lois des deux chambres, a refusé tout compromis avec le Sénat. Ils y ont vu un signe préoccupant dans la perspective de la révision constitutionnelle annoncée.

Le président Philippe BAS (Les Républicains – Manche) a exprimé sa surprise qu’aucun terrain d’entente n’ait pu être trouvé entre les deux assemblées sur un texte urgent d’adaptation du droit interne au droit européen, dont les principales orientations sont consensuelles et pour lequel le législateur national ne dispose que d’une marge de manœuvre limitée. « Alors que l’avant-projet de loi constitutionnelle soumis par le Gouvernement au Conseil d’État comporte des dispositions qui affaiblissent le Parlement et portent atteinte à la séparation des pouvoirs, la méconnaissance par la majorité présidentielle du fonctionnement normal du bicamérisme a de quoi inquiéter. »

Sur le fond, le rapporteur Sophie JOISSAINS (Union Centriste – Bouches-du-Rhône) a rappelé que le Sénat, fidèle à son rôle traditionnel de chambre des libertés, s’était attaché en première lecture à rééquilibrer le projet de loi afin de renforcer les garanties pour les droits et libertés des citoyens. Le Sénat a notamment prévu de rétablir l’autorisation préalable des traitements de données pénales et de ne pas étendre inconsidérément leur usage, d’encourager le recours au chiffrement des données personnelles, de maintenir le droit à la portabilité des données non personnelles, de s’assurer que les utilisateurs de terminaux électroniques aient le choix d’y installer des applications respectueuses de la vie privée, et d’encadrer plus strictement l’usage des algorithmes par l’administration pour prendre des décisions individuelles, tout en renforçant les garanties de transparence en la matière, par exemple pour les inscriptions à l’université (« Parcoursup »).

« Comment admettre que les lycéens qui seront sélectionnés par les universités sur la base d’un algorithme ne puissent en connaître les paramètres ? N’y a-t-il pas là une contradiction flagrante avec les promesses de transparence réitérées par le Président de la République lors de son discours du 28 mars au Collège de France ? » s’est interrogée Sophie JOISSAINS.

Le rapporteur a également rappelé que le Sénat avait souhaité prendre en compte les difficultés spécifiques rencontrées par les collectivités territoriales, en prévoyant des mesures adaptées. «  Une collectivité n’est pas une start-up ! » a insisté Sophie JOISSAINS. « Les collectivités territoriales sont soumises à des sujétions tout à fait particulières, qui sont le corollaire de leurs missions de service public et de leurs prérogatives de puissance publique. Si elles mettent en œuvre des traitements de données personnelles, ce n’est pas pour en tirer profit, mais parce qu’elles y sont obligées par la loi ou pour rendre un meilleur service à nos concitoyens ! »

La commission des lois, tout en acceptant en signe de bonne volonté certaines modifications apportées au projet de loi par l’Assemblée nationale, a estimé nécessaire de rester ferme sur les principes défendus en première lecture. Elle a donc rétabli les principales dispositions alors adoptées par le Sénat.

Le projet de loi doit être examiné par le Sénat en séance publique les jeudi 19 et vendredi 20 avril 2018.

GDPR : 4 étapes essentielles pour se préparer avant mai 2018

Il ne reste plus que quelques semaines avant l’entrée en vigueur du Règlement général sur la protection des données (GDPR). Évolution majeure de la Loi informatique et libertés de 1978, GRPD renforce les droits individuels pour devenir le nouveau texte de référence dans l’Union Européenne. La réglementation impose aux entreprises d’adopter un comportement responsable en améliorant l’évaluation des risques concernant les données collectées.

Il s’agit également d’harmoniser le paysage juridique à échelle européenne afin de construire un seul et même cadre pour tous les Etats membres.  Qualifiée de « bombe à retardement » ou de « contrainte », GRPD est souvent perçue comme une loi aux impacts négatifs aux yeux des entreprises. Une étude menée par Vanson Bourne révélait en avril dernier que près de la moitié des entreprises dans le monde redoutait de ne pas pouvoir répondre à la réglementation, faute de technologie adaptée. 20% d’entre elles craignaient même de devoir mettre la clé sous la porte à la vue du montant des pénalités (jusqu’à 4% du chiffre d’affaires annuel) en cas de non-conformité. S’il est maintenant de plus en plus évident que les entreprises ne seront pas totalement conformes le 25 mai prochain, elles doivent en revanche pouvoir prouver en cas de contrôle de l’Autorité responsable, qu’elles ont initié les mesures nécessaires pour s’assurer que les données collectées soient bien protégées.

Pour les appuyer dans cette démarche, voici les 4 étapes essentielles à prendre en compte dès aujourd’hui pour bien commencer leur entrée dans la conformité :

Avoir une vision et une gestion des données à 360 degrés

La première étape incontournable pour être en conformité à GDPR est d’adopter une approche holistique de la gestion des données qui va bien au-delà du simple stockage. Avec une réglementations plus stricte que les précédentes, les entreprises doivent s’assurer d’avoir une visibilité complète de leurs données, y compris sur la nature des informations stockées, la manière dont elles sont utilisées, mais aussi qui détient ces données et peut y avoir accès.

Cette approche doit inclure la possibilité de classer automatiquement de gros volumes de données, les numériser et les étiqueter de la manière la plus intelligente et la plus détaillée possible, afin de garantir que les informations sont gérer efficacement et restent à portée de main.

Se doter d’une solution qui permet de localiser et d’identifier rapidement les données personnelles est donc la première des priorités. A long terme, ce type de solution permettra également de déterminer comment exploiter les données et en extraire de la valeur.

 Pouvoir notifier une faille de données dans les 72 heures

Près de la moitié des entreprises qui pensent être conformes (48%) n’ont pas de visibilité totale sur les incidents de pertes de données personnelles. De plus, 61% d’entre-elles admettent qu’il est difficile d’identifier et de signaler une faille de données personnelles dans les 72 heures – une exigence fondamentale de la réglementation GDPR quand il y a un risque pour les individus concernés. Il s’agit de la deuxième priorité, considérée comme l’une des plus importantes de la réglementation. En effet, toute entreprise incapable de signaler la perte ou le vol de données personnelles – telles que les dossiers médicaux, les adresses e-mail et les mots de passe – à l’organe de surveillance dans ce délai est en rupture avec cette exigence clé.

L’exercice du droit à l’oubli

Avec GDPR, les entreprises doivent s’assurer que les données personnelles ne sont utilisées que pour les raisons pour lesquelles elles ont été collectées et doivent être supprimées lorsqu’elles ne sont plus nécessaires. En effet, dans le cadre du « droit à l’oubli », les citoyens européens auront le droit de demander la suppression de toutes leurs données personnelles des bases de données d’une entreprise. Les entreprises qui n’ont pas les capacités de rechercher et d’analyser les données personnelles pour détecter des références explicites ou implicites d’un individu sont encore très nombreuses. Se doter des outils pour visualiser avec précision la localisation des données ainsi qu’identifier les sources de dépôts fait donc partie des priorités essentielles.

Insuffler une culture de la conformité en interne

Si la plupart des entreprises admettent ne pas posséder une bonne culture de gouvernance des données et de conformité en interne, ces dernières sont tout de même conscientes qu’inciter les employés à adopter la bonne attitude vis-à-vis des données est primordial pour impulser de véritables changements culturels au sein de l’entreprise. Nombreuses sont celles qui comptent mettre en place des sessions de formations, instaurer des primes ou encore ajouter le respect obligatoire de mesures concernant GDPR dans les contrats d’embauche.

Initier sa conformité à GDPR et mettre en place les bonnes pratiques passent d’abord par les salariés. Prendre des mesures concrètes pour conduire à un changement culturel en interne fait également partie des priorités. Les salariés peuvent ainsi réaliser leur rôle à jouer concernant la protection des données et pourront voir leurs avantages positivement impactés, puisque ces derniers contribuent à promouvoir une bonne gouvernance des données au sein de l’entreprise.

Les entreprises qui savent créer de nouvelles opportunités business en s’appuyant sur les exigences réglementaires tireront un avantage certain. En étant conformes à GDPR, elles ne réduisent pas seulement le risque d’être exposées à des amendes, mais ont également l’opportunité d’offrir à leur clients une meilleure expérience à travers une bonne gestion des données, ce qui peut avoir un impact favorable sur la fidélité des clients, le chiffre d’affaires et la réputation de la marque. Mais plus encore, GDPR est aussi un réel moyen de redonner confiance aux citoyens dans leurs entreprises ainsi que d’instaurer une meilleure gestion et une diminution non négligeables des risques liés au numérique (cyberattaques, fraudes, etc.) (Par Daniel de Prezzo, Head of Technologies Southern Europe chez Veritas Technologies)

Données personnelles : les députés ignorent les sénateurs !

Protection des données personnelles : Les députés de la majorité veulent passer en force et ignorer les apports du Sénat au prix de reculs pour les libertés publiques et les collectivités territoriales.

Protection des données personnelles – Au lendemain de l’échec de la commission mixte paritaire chargée d’examiner le projet renforçant l’efficacité de l’administration pour une relation de confiance avec le public, la commission mixte paritaire (CMP) qui s’est réunie le vendredi 6 avril 2018, à l’Assemblée nationale, pour examiner le projet de loi relatif à la protection des données personnelles n’est pas parvenue, elle non plus, à un accord. Pour rappel, ce projet de loi vise à mettre la loi Informatique et libertés en conformité avec le règlement général sur la protection des données personnelles, qui entrera en vigueur le 25 mai 2018, et avec la directive sectorielle spécifique aux traitements en matière policière et judiciaire, qui doit être transposée avant le 6 mai 2018.

Pour le président de la commission des lois du Sénat, Philippe Bas (Les Républicains – Manche), « ce résultat décevant est entièrement imputable à l’attitude des députés du groupe majoritaire à l’Assemblée nationale qui étaient fermés d’emblée à tout compromis et ont rejeté en bloc les apports du Sénat en faveur des libertés publiques et des collectivités territoriales ».

Pour renforcer la protection des droits et libertés des citoyens, le Sénat avait notamment prévu d’encadrer beaucoup plus strictement l’usage des algorithmes par l’administration pour prendre des décisions individuelles, et de renforcer les garanties de transparence en la matière, par exemple pour les inscriptions dans l’enseignement supérieur (« Parcoursup »).

« Est-il normal que l’administration puisse aussi bien établir une feuille d’impôt qu’interdire une réunion publique ou expulser un étranger sur le seul fondement d’un algorithme, sans examen individualisé ? Est-il légitime que les lycéens sélectionnés par les universités au moyen de traitements automatisés ne puissent savoir quels paramètres leur ont été appliqués ? » s’est interrogée le rapporteur Sophie Joissains (Union Centriste – Bouches-du-Rhône).

Sur ce point, le président Bas a ajouté : « Pourquoi les étudiants n’auraient-ils pas le droit d’accéder aux informations nécessaires pour comprendre les raisons d’un refus d’inscription dans une université de leur choix ? ». Il a déploré que « le manque de respect pour les apports du Sénat se double d’une certaine incohérence : dans leurs discours, les députés du groupe majoritaire à l’Assemblée nationale et le Président de la République lui-même ne cessent d’appeler à l’encadrement et à la transparence des algorithmes. Dans les faits, ils s’apprêtent à voter la suppression de tous les garde-fous ! »

Le Sénat, fidèle à sa vocation particulière d’assemblée protectrice des libertés

  • rétablir l’autorisation préalable des traitements de données portant sur les infractions, condamnations et mesures de sûreté, et préciser les conditions d’extension de la liste des personnes autorisées à mettre en œuvre ces fichiers ;
  • maintenir à 16 ans, conformément au droit commun européen, l’âge minimal à partir duquel un mineur peut consentir seul au traitement de ses données personnelles;
  • encourager le recours aux technologies de chiffrement des données pour assurer leur sécurité ;
  • conserver le droit général à la portabilité des données, personnelles comme non personnelles, pour permettre de faire véritablement jouer la concurrence entre services en ligne ;
  • s’assurer que les utilisateurs de terminaux électroniques aient le choix d’y installer des applications respectueuses de la vie privée.

Quant aux collectivités territoriales, le président Bas a déploré que « l’État leur impose une nouvelle fois de nouvelles obligations sans leur en donner les moyens, et sous la menace de sanctions très lourdes ! »

« N’oublions pas qu’elles sont responsables de nombreux traitements sur lesquels elles n’ont pas prise, car ils découlent d’obligations légales ou de compétences transférées (fichier d’état civil, fichier des cantines scolaires, fichiers d’aide sociale, listes électorales, fiscalité locale, cadastre…) », a ajouté le rapporteur Sophie Joissains.

Pour mieux accompagner les petites structures, TPE-PME et collectivités territoriales, dans la mise en œuvre de leurs nouvelles obligations, le Sénat avait prévu :

  • dégager de nouveaux moyens financiers, en « fléchant» le produit des amendes et astreintes prononcées par la Commission nationale de l’informatique et des libertés (CNIL) à leur intention, et en créant une dotation communale et intercommunale pour la protection des données personnelles ;
  • faciliter la mutualisation des services numériques entre collectivités ;
  • réduire l’aléa financier pesant sur ces dernières en supprimant la faculté pour la CNIL de leur imposer des amendes administratives et en reportant de deux ans l’entrée en vigueur de l’action de groupe en réparation en matière de données personnelles ;
  • d’encourager la diffusion d’informations et l’édiction de normes de droit souple par la CNIL adaptées aux besoins et aux moyens des collectivités comme des TPE-PME.

Après une nouvelle lecture devant chaque chambre (l’examen est prévu en séance à l’Assemblée nationale le jeudi 12 avril, et au Sénat le jeudi 19 avril), le Gouvernement pourra demander à l’Assemblée nationale de statuer sur ce texte en lecture définitive (« dernier mot »).

La promulgation du texte pourra alors intervenir après, le cas échéant, l’examen des éventuels recours déposés devant le Conseil constitutionnel.